Πρόστιμο 14,5 εκατομμύρια ευρώ σε εταιρεία για παραβάσεις του GDPR


Το υψηλότερο πρόστιμο από την έναρξη εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) επιβλήθηκε πρόσφατα στη Γερμανία. Συγκεκριμένα, στις 30 Οκτωβρίου 2019, η Επίτροπος του Βερολίνου για την Προστασία των Δεδομένων και την Ελευθερία της Πληροφόρησης (Berliner Beauftragte für Datenschutz und Informationsfreiheit) επέβαλε πρόστιμο ύψους 14,5 εκατομμυρίων ευρώ σε γερμανική εταιρεία ακινήτων (Deutsche Wohnen), που είναι το υψηλότερο για παραβίαση του GDPR που έχει επιβληθεί μέχρι σήμερα στη Γερμανία.
Η παράβαση αφορούσε σε μακρόχρονη διατήρηση προσωπικών δεδομένων. Η Επίτροπος εφάρμοσε εν προκειμένω τη νέα μέθοδο υπολογισμού για πρόστιμα με βάση τον GDPR.
Η εταιρεία "Deutsche Wohnen" χρησιμοποιούσε ένα σύστημα αρχειοθέτησης για την αποθήκευση προσωπικών δεδομένων των ενοικιαστών που δεν προέβλεπε τη δυνατότητα διαγραφής δεδομένων που δεν χρειάζονται πλέον. Τα προσωπικά δεδομένα των ενοικιαστών αποθηκεύονταν χωρίς να ελέγχεται εάν η αποθήκευση ήταν επιτρεπτή ή ακόμη και αναγκαία. Επομένως, ήταν δυνατή η πρόσβαση στα προσωπικά δεδομένα των ενοικιαστών που είχαν αποθηκευτεί για πολλά χρόνια χωρίς αυτά τα δεδομένα να εξυπηρετούν το σκοπό της αρχικής τους συλλογής.
Τα εν λόγω δεδομένα περιελάμβαναν στοιχεία σχετικά με την προσωπική και οικονομική κατάσταση των μισθωτών, όπως δηλώσεις μισθών, έντυπα αποκάλυψης εγγράφων, αποσπάσματα συμβάσεων απασχόλησης και κατάρτισης, φορολογικά, στοιχεία κοινωνικής ασφάλισης καθώς και καταστάσεις τραπεζικών λογαριασμών.
Εκτός από την επιβολή κυρώσεων για την συγκεκριμένη παραβίαση, η Επίτροπος Προστασίας Δεδομένων του Βερολίνου επέβαλε στην εταιρεία πρόστιμα ύψους 6.000 έως 17.000 ευρώ για την παράνομη αποθήκευση προσωπικών δεδομένων των ενοικιαστών σε 15 συγκεκριμένες ατομικές περιπτώσεις.
Η Επίτροπος θεώρησε ότι η διατήρηση δεδομένων για περισσότερο χρόνο από τον αναγκαίο συνιστά παράβαση του GDPR, από τρεις απόψεις: πρώτον, ο υπεύθυνος της επεξεργασίας δεν είχε νομικό υπόβαθρο για την αποθήκευση δεδομένων προσωπικού χαρακτήρα περισσότερο από ότι ήταν αναγκαίο. Δεύτερον, αυτό θεωρήθηκε ως παραβίαση των απαιτήσεων περί προστασίας δεδομένων βάσει του άρθρου 25 παράγραφος 1 του GDPR. Και τέλος, η εν λόγω αποθήκευση παραβίαζε τις γενικές αρχές επεξεργασίας που ορίζονται στο άρθρο 5 του GDPR.
Η Deutsche Wohnen δεν κατάφερε να δημιουργήσει μια διαδικασία διατήρησης και διαγραφής δεδομένων προσωπικού χαρακτήρα των ενοικιαστών. Επισημαίνεται δε το γεγονός ότι η Επίτροπος Δεδομένων Βερολίνου είχε ήδη διαπιστώσει το 2017 τη μη τήρηση των υποχρεώσεών της εν λόγω εταιρείας κατά τη διάρκεια ενός επιτόπιου ελέγχου. Παρόλο που η Deutsche Wohnen έλαβε αρχικά μέτρα για την άρση της μη συμμόρφωσης, η εποπτική αρχή αποκάλυψε κατά τη διάρκεια του δεύτερου ελέγχου το 2019 ότι τα μέτρα αυτά δεν είχαν οδηγήσει στη δημιουργία συστήματος αρχειοθέτησης συμβατού με τον GDPR.
Η απόφαση της Επιτρόπου δεν είναι ακόμη οριστική και η Deutsche Wohnen έχει ήδη ανακοινώσει ότι θα προσβάλει το πρόστιμο στο δικαστήριο. (legalnews24.gr/ datenschutz-berlin.de)

Σχόλια